Cibercriminosos encontraram uma maneira de contornar a autenticação em dois fatores (2FA) que depende de notificações push. A tática consiste em inundar o celular da vítima com dezenas de pedidos de autorização até que, por cansaço ou distração, ela acabe aceitando a solicitação. Essa abordagem de engenharia social já se provou eficiente, tendo sido usada com sucesso para invadir a gigante de tecnologia Cisco em 2022.
A engrenagem do ataque se apoia em três etapas fundamentais:
- Acesso à senha: O invasor consegue a senha real da vítima por meio de vazamentos de dados que circulam na dark web.
- Bombardeio de acessos: Com a senha em mãos, ele tenta realizar múltiplos logins em plataformas corporativas como VPNs, Microsoft 365 ou Okta.
- Persistência: Cada tentativa dispara um alerta no celular do usuário. O objetivo é vencer a vítima pelo cansaço, esperando que ela aprove o acesso sem prestar atenção, julgue ser uma falha do sistema ou ceda após os criminosos ligarem fingindo ser do suporte de TI.
O Caso Cisco: A Prova de Conceito na Prática
Nem mesmo grandes empresas de segurança digital estão imunes. Em 2022, cibercriminosos associados ao ransomware Yanluowang obtiveram a senha da VPN de um colaborador da Cisco. As credenciais foram capturadas a partir de sua conta pessoal do Google, que estava sincronizando as senhas salvas no navegador.
No início, o funcionário rejeitou os alertas que chegavam ao seu celular. Contudo, os golpistas telefonaram simulando ser da equipe de suporte técnico e o convenceram a autorizar a entrada.
Assim que o acesso foi liberado, os invasores se conectaram à VPN, cadastraram seus próprios aparelhos no sistema de autenticação para garantir estabilidade e conquistaram privilégios de administrador. Antes de o ataque ser interceptado, o grupo conseguiu extrair cerca de 2,8 GB de dados confidenciais.
A Fragilidade Oculta das Notificações Push
A grande vulnerabilidade desse método está na escassez de informações fornecidas ao usuário. A tela de aprovação geralmente não exibe a localização de quem tenta logar, o dispositivo utilizado ou se a própria pessoa deu início àquela sessão.
Quando o telefone toca repetidamente com esses alertas, o cenário facilmente se confunde com uma instabilidade técnica. Se somado a um telefonema falso de suporte, o ataque ganha contornos de legitimidade, induzindo a vítima ao erro.
Estratégias de Defesa e Proteção
Para mitigar esse tipo de ameaça, especialistas em segurança recomendam três frentes de ação:
- Substituição do método de validação: Migrar das notificações push para fatores mais robustos, como códigos temporários gerados por aplicativos autenticadores, chaves de segurança FIDO2 ou tokens físicos (ex: YubiKey).
- Bloqueio preventivo de credenciais: Como o ataque depende da senha correta para começar, ferramentas que monitoram continuamente o Active Directory contra bancos de dados de vazamentos podem forçar a troca da senha antes que os criminosos ajam.
- Contextualização de acessos: Implementar políticas de acesso condicional que avaliem o horário do login, o aparelho e a localização geográfica. Se o comportamento for suspeito, o sistema bloqueia a tentativa antes mesmo de emitir qualquer alerta ao celular.
Por fim, vale ressaltar que o bombardeio de notificações não invalida a importância do segundo fator de autenticação. A falha não está no conceito da proteção, mas especificamente no formato push, que se mostra vulnerável à manipulação psicológica.





